dYdX Distribui Malware que Rouba Carteiras de Criptomoedas
TL;DR
Um ataque cibernético comprometeu pacotes oficiais do protocolo dYdX, permitindo a distribuição de malware capaz de roubar carteiras digitais e instalar um Trojan de Acesso Remoto.
Um ataque cibernético envolvendo o protocolo dYdX comprometeu pacotes oficiais, resultando na distribuição de malware que consegue roubar carteiras digitais e instalar um Trojan de Acesso Remoto (RAT). Essa operação, descoberta pela empresa de cibersegurança Socket em 27 de janeiro de 2026, afetou simultaneamente os ecossistemas npm e PyPI, ferramentas imprescindíveis para desenvolvedores.
A plataforma dYdX, uma exchange descentralizada de criptomoedas, já movimentou mais de US$ 1,5 trilhão e sua média de volume diário varia entre US$ 200 e 540 milhões. Os pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) são críticos para o desenvolvimento de aplicações que interagem com o sistema, incluindo criação e gerenciamento de carteiras.
Como Funciona o Ataque
Os atacantes conseguiram acessar as credenciais de desenvolvedores legítimos, liberando versões maliciosas dos pacotes em ambos os repositórios. O código nocivo foi inserido nos arquivos essenciais, como registry.ts e account.py, comprometendo o sistema mesmo quando os usuários utilizavam os pacotes normalmente.
No caso do npm, a função createRegistry() foi alterada para capturar a seed phrase (uma senha de 12 a 24 palavras) e enviar essas informações para um servidor controlado pelos atacantes. A seed phrase é crucial, pois fornece acesso total à carteira de criptomoedas.
Malware no npm e PyPI
O malware JavaScript não apenas rouba credenciais, mas também coleta informações do dispositivo da vítima, como nome do computador e sistema operacional, que são transformadas em um código hash único. O código utiliza um try-catch que captura erros silenciosamente, garantindo que os usuários não percebam a violação.
Na versão do PyPI, o ataque é ainda mais severo, pois instala um RAT que permite controle remoto completo do computador da vítima. A instalação deste malware ocorre disfarçada sob a função list_prices(), que deveria apenas consultar preços de negociação.
Consequências do Ataque
Os impactos são significativos. As vítimas do npm com seed phrases reais perderam total acesso às suas carteiras, enquanto os usuários do PyPI enfrentam risco ainda maior, com os atacantes podendo executar qualquer código em seus sistemas.
Além do roubo de carteiras, o RAT pode obter credenciais de acesso a servidores e APIs, tornando a situação crítica para desenvolvedores que dependem da segurança de suas ferramentas. Este não é o primeiro ataque direcionado ao dYdX; incidentes anteriores também exploraram vulnerabilidades em suas operações.
Implicações e Segurança Futuras
A complexidade do ataque destaca o nível de planejamento e técnica envolvida, semelhante a ações de grupos de cibercrime profissionais. O incidente demonstra o quanto os desenvolvedores confiam em pacotes de repositórios oficiais, reforçando a necessidade de uma avaliação de segurança mais rigorosa.
Desenvolvedores devem implementar ferramentas automatizadas de verificação, monitoramento de tráfego e adotar práticas de segurança como o princípio de menor privilégio. Além disso, manter ambientes de desenvolvimento separados de produção é crucial para evitar futuras violações de segurança.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
